Используйте фильтры при назначении приложений, политик и профилей в Microsoft Intune

  • Статья

При создании политик можно назначать их с использованием фильтров, основанных на созданных вами правилах. Фильтр позволяет ограничить область назначения политики. Например, в фильтрах можно задать целевые устройства с определенной версией ОС или устройства определенного производителя, только личные или только корпоративные устройства и т. д.

Фильтры доступны для:

  • Устройства, зарегистрированные в Intune, которые являются управляемыми устройствами.

  • Приложения, управляемые Intune, которые являются управляемыми приложениями.

    Управляемые приложения используются в сценариях управления мобильными приложениями (MAM). MAM включает управление приложениями на устройствах, которые не зарегистрированы в Intune, что обычно используется для личных устройств. Дополнительные сведения о MAM в Intune см. в статье Что такое управление приложениями Microsoft Intune?.

Фильтры можно использовать в следующих сценариях:

  • Развертывание политики ограниченного использования устройств с Windows только на корпоративных устройствах, принадлежащих отделу маркетинга (за исключением личных устройств).
  • Развертывание приложения iOS/iPadOS только на устройствах iPad в группе пользователей из финансового отдела.
  • Развертывание политики соответствия мобильных телефонов Android для всех пользователей в компании, за исключением устройств Android в комнате переговоров, которые не поддерживают параметры политики соответствия для мобильных телефонов.
  • На личных устройствах разверните политику конфигурации приложений для конкретного производителя приложения или политику защиты приложений, которая запускает определенную версию ОС.

Фильтры предоставят вам следующие возможности и преимущества:

  • Дополнительная гибкость и детализация при назначении политик и приложений в Intune.
  • Используются при назначении приложений, политик и профилей. Они динамически предназначены для управляемых устройств на основе свойств устройств и целевых управляемых приложений на основе вводимых свойств приложения.
  • Может включать или исключать устройства или приложения в определенной группе на основе введенных вами критериев.
  • Может создавать запрос свойств устройства или приложения на основе различных свойств, таких как платформа устройства или версия приложения.
  • Можно использовать и повторно использовать в нескольких сценариях в режиме "Включить" или "Исключить".

Данная функция применяется к:

  • Управляемые устройства на следующих платформах:

    • Администратор устройств Android
    • Android Enterprise
    • Android (AOSP)
    • iOS/iPadOS
    • macOS
    • Windows 10/11

  • Управляемые приложения на следующих платформах:

    • Android
    • iOS/iPadOS
    • Windows

В этой статье описывается архитектура фильтров и действия, позволяющие создать, обновить или удалить фильтр.

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

Как работают фильтры

Снимок экрана, на котором показано, как администратор создает фильтр и использует фильтр в политике в Microsoft Intune.

Перед применением политики к приложению или устройству фильтры динамически оценивают применимость. Ниже приведен обзор изображения:

  1. Вы создаете повторно используемый фильтр на основе приложения или свойства устройства. В этом примере фильтр устройств предназначен для устройств IPhone XR.

  2. Вы назначаете политику группе. Вы добавляете фильтр в режиме включения или исключения в это назначение. Например, вы "включаете" устройства iPhone XR или "исключаете" устройства iPhone XR из политики.

  3. Оценка фильтра происходит при каждой регистрации устройства, синхронизации со службой Intune и в любой другой ситуации, когда политика выполняет оценку.

  4. Здесь показаны результаты оценки фильтра. Например, приложение или политика применяется или не применяется.

Ограничения

При создании фильтров существуют некоторые общие ограничения.

  • Для каждого клиента может быть до 200 фильтров.
  • Каждый фильтр ограничен 3072 символами.
  • Для управляемых устройств устройства должны быть зарегистрированы в Intune.
  • Для управляемых приложений фильтры применяются к политикам защиты приложений и политикам конфигурации приложений. Они не применяются к другим политикам, таким как соответствие требованиям или профили конфигурации устройств.

Предварительные требования

Создание фильтра

  1. Войдите в Центр администрирования Intune.

  2. Выберите Администрирование клиента>Фильтры>Создать.

    Кроме того, можно создавать собственные фильтры в следующих разделах:

    • Устройства>Фильтры
    • Приложения>Фильтры

  3. Выберите Управляемые устройства или Управляемые приложения:

    Снимок экрана: выбор управляемых приложений или управляемых устройств при создании фильтра в центре администрирования Microsoft Intune.

    Помните, что управляемые устройства — это устройства, зарегистрированные в Intune и обычно принадлежащие организациям. Управляемые приложения предназначены для устройств, которые не зарегистрированы в Intune и обычно принадлежат конечным пользователям.

  4. В разделе Основные укажите следующие свойства.

    • Filter name (Имя фильтра). Введите описательное имя для фильтра. Назначьте имена фильтрам, чтобы потом их можно было легко идентифицировать. Пример хорошего имени для фильтра: Фильтр по версии ОС Windows.

    • Description (Описание). Введите описание фильтра. Этот необязательный параметр, но мы рекомендуем его использовать.

    • Platform (Платформа). Выберите платформу. Доступны следующие варианты:

      • Управляемые устройства:

        • Администратор устройств Android
        • Android Enterprise
        • Android (AOSP)
        • iOS/iPadOS
        • macOS
        • Windows 10 и более поздние версии

      • Управляемые приложения:

        • Android
        • iOS/iPadOS
        • Windows

  5. Нажмите кнопку Далее.

  6. В разделе Rules (Правила) поддерживаются два способа создания правил: построитель правил и синтаксис правил.

    Rule builder (Построитель правил):

    • And/Or (И/Или). Добавив в фильтр выражение, вы можете объединить его с другим с помощью операторов and и or.

    • Свойство. Выберите свойство для правила, например номер SKU устройства или операционной системы.

    • Оператор: выберите оператор из списка, например equals или contains.

    • Value (Значение). Введите значение для выражения. Например, в качестве версии ОС можно указать значение 10.0.18362, а в качестве производителя — Microsoft.

    • Add expression (Добавить выражение). Завершив ввод свойства, оператора и значения, щелкните Add expression (Добавить выражение):

      Снимок экрана: использование построителя правил в Microsoft Intune для создания фильтра выражений и назначения политик.

      Созданное вами выражение автоматически добавляется в редактор синтаксиса правил.

    Rule syntax (Синтаксис правил).

    Можно также вручную ввести выражение правила и создать собственные правила сразу в редакторе синтаксиса правил. В разделе Rule syntax (Синтаксис правил) выберите Edit (Изменить).

    Снимок экрана: выбор редактора синтаксиса правил для использования построителя правил в Microsoft Intune.

    Откроется построитель выражений. Введите выражения вручную, например (device.osVersion -eq "10.0.18362") and (device.manufacturer -eq "Microsoft"):

    Снимок экрана: использование построителя выражений для ввода синтаксиса правила в Microsoft Intune.

    Дополнительные сведения о написании собственных выражений см. в статье Свойства устройства и приложения, операторы и редактирование правил при создании фильтров.

    Щелкните ОК, чтобы сохранить выражение.

    Совет

    • При создании правила выполняется проверка правильности синтаксиса и отображаются найденные ошибки.
    • Если введенный синтаксис не поддерживается построителем простых правил, то построитель правил отключается. Например, использование вложенных скобок отключает построитель простых правил.

  7. Выберите Предварительный просмотр устройств. Отображается список зарегистрированных устройств, соответствующих заданным условиям фильтра.

    В этом списке также можно искать устройства по имени устройства, версии ОС, модели устройства, изготовителю устройства и т. д.

    Снимок экрана: поиск устройств при создании фильтра в Microsoft Intune.

    Примечание.

    При выборе предварительного просмотра устройств для свойства, которое находится в режиме предварительной You cannot use Filter preview with experimental properties версии, вы получите сообщение. Несмотря на то, что вы не можете просмотреть свойство, его можно использовать в фильтрах.

    Снимок экрана: сообщение о невозможности использования предварительного просмотра фильтра при выборе предварительного просмотра устройств со свойством предварительного просмотра в синтаксисе правила фильтрации в Microsoft Intune.

  8. Нажмите кнопку Далее.

  9. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.

    Нажмите кнопку Далее.

  10. Проверьте параметры в окне Проверка и создание. Щелкните Create (Создать), чтобы сохранить изменения. Это действие создает готовый к использованию фильтр. Он также появляется в списке фильтров.

Использование фильтра

После создания фильтр сразу готов к добавлению в назначения приложений или политик.

  1. В Центре администрирования Intune перейдите к своим приложениям, политикам соответствия требованиям или профилям конфигурации. Список поддерживаемых рабочих нагрузок см. в статье Поддерживаемые рабочие нагрузки при создании фильтров. Выберите существующую политику или создайте новую.

    Например, выберите Соответствие устройств> и выберите существующую политику. Выберите Свойства>Назначения>Изменить:

    Снимок экрана: выбор политики или профиля и изменение назначения в Microsoft Intune.

  2. Назначьте политику группе пользователей или группе устройств.

  3. Выберите Изменить фильтр. Доступны следующие параметры:

    • Не применять фильтр. Все целевые пользователи или устройства получат приложение или политику без фильтрации.

    • Включить отфильтрованные устройства в назначение. Устройства, соответствующие условиям фильтра, получат приложение или политику. Устройства, которые не соответствуют условиям фильтра, не получат приложение или политику.

      Появится список фильтров, соответствующих платформе политики.

    • Исключить отфильтрованные устройства из назначения. Устройства, соответствующие условиям фильтра, не получат приложение или политику. Устройства, которые не соответствуют условиям фильтра, получат приложение или политику.

      Появится список фильтров, соответствующих платформе политики.

  4. Выберите существующий фильтр >Выберите.

    Например, установите флажок Включить отфильтрованные устройства в назначение и выберите фильтр:

    Снимок экрана, на котором показано, как включить фильтр при назначении политики в Microsoft Intune.

  5. Чтобы сохранить изменения, щелкните Review + save (Проверка и сохранение)>Save (Сохранить).

Когда устройство выполняет синхронизацию со службой Intune, оцениваются определенные в фильтре свойства и определяется, нужно ли применять приложение или политику.

Фильтрация существующих фильтров

После создания фильтра можно отфильтровать существующий список фильтров по платформе и типу профиля (управляемые устройства или управляемые приложения).

  1. В Центре администрирования Intune выберите Администрирование> клиентовФильтры. Отобразится полный список фильтров.

    Вы также можете перейти кразделу Фильтрыустройств> илиФильтры приложений>.

  2. Выберите Добавить фильтры:

    Снимок экрана: добавление фильтра для фильтрации существующего списка фильтров в Microsoft Intune.

  3. Список можно отфильтровать по типу фильтра или по платформе:

    Снимок экрана: фильтрация существующего списка фильтров по платформе и типу профиля в Microsoft Intune.

  4. Выберите Тип> фильтраПрименить. Затем выберите Управляемые устройства или Управляемые приложения>Применить. Список фильтров фильтруется в зависимости от выбранного вами списка.

    Снимок экрана: отфильтрованный список фильтров по управляемым устройствам в Microsoft Intune.

  5. Добавьте еще один фильтр и выберите Применить платформу>. Выберите свою платформу в списке, например Windows 10 и более поздних версий>Применить. Список фильтров фильтруется в зависимости от выбранного вами списка.

    Снимок экрана: отфильтрованный список фильтров по платформам в Microsoft Intune.

    Снимок экрана: отфильтрованный список фильтров и все доступные параметры платформы в Microsoft Intune.

Просмотр назначений

После назначения фильтра политикам вы увидите все политики, использующие фильтр.

  1. В Центре администрирования Intune выберите Администрирование> клиентовФильтры. Отобразится полный список фильтров.

    Вы также можете перейти кразделу Фильтрыустройств> илиФильтры приложений>.

  2. Выберите фильтр, который нужно просмотреть > на вкладке Связанные назначения.

    На странице отображаются все приложения и политики, использующие фильтр, группы, которые получают назначения фильтров, а также режим фильтра (включить или исключить):

    Снимок экрана, на котором показаны связанные вкладки назначения для существующего фильтра в Microsoft Intune.

Изменение существующего фильтра

После создания фильтра его также можно изменить или обновить.

  1. В Центре администрирования Intune выберите Администрирование> клиентовФильтры. Отобразится полный список фильтров.

    Вы также можете обновить фильтры в разделах Устройства>Фильтры или Приложения>Фильтры.

  2. Чтобы обновить существующий фильтр, выберите фильтр, который требуется изменить. Щелкните Rules (Правила)>Edit (Изменить) и внесите изменения:

    Снимок экрана: изменение или обновление существующего фильтра в Microsoft Intune.

  3. Чтобы сохранить изменения, щелкните Review + save (Проверка и сохранение)>Save (Сохранить).

Удаление фильтра

  1. В Центре администрирования Intune выберите Администрирование> клиентовФильтры. Отобразится полный список фильтров.

    Вы также можете удалить фильтры в разделах Устройства>Фильтры или Приложения>Фильтры.

  2. Рядом с фильтром щелкните многоточие (...) и выберите Delete (Удалить):

    Снимок экрана: удаление фильтра в Microsoft Intune.

Чтобы удалить фильтр, его сначала необходимо удалить изо всех назначений политик. В противном случае при попытке удалить фильтр отображается следующая ошибка:

Unable to delete assignment filter – An assignment filter is associated with existing assignments. Delete all the assignments for the filter and try again.

Дальнейшие действия